Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Les secrets de la prévention des attaques de points de vente

Le récent cybercambriolage de l’enseigne Target au cours duquel des dizaines de millions de numéros de carte de crédit ont été retirés du système de terminaux de point de vente...
David Gibson
4 minute de lecture
Dernière mise à jour 28 octobre 2021

Contenu

    Le récent cybercambriolage de l’enseigne Target au cours duquel des dizaines de millions de numéros de carte de crédit ont été retirés du système de terminaux de point de vente d’un grand détaillant comporte encore une large part de mystère. Mais nous en apprenons davantage chaque jour. Le toujours indispensable Krebs constitue un bon point de départ pour obtenir des informations générales et une spéculation très éclairée. Il existe de bonnes raisons de croire (sur rien de moins que la base d’une analyse du FBI) que certains des logiciels malveillants et techniques utilisés remontent à 2011 au moins. Les pirates ont exploité une lacune dans la conformité PCI du système informatique du détaillant (techniquement conforme au moment du dernier audit), à un niveau où la bande magnétique de la carte de crédit ou piste de données n’était pas encore chiffrée : sur le terminal même du PDV. L’avis du FBI n’offre aucune nouvelle encourageante : selon lui, ce type d’attaque ne fera qu’augmenter dans un avenir proche.

    Cependant, tous ceux qui ont déjà vu un film classique de cambriolage physique savent que les criminels font souvent une gaffe, non pas en entrant dans la chambre forte, mais quand il leur faut rejoindre leur cachette avec l’or, les bijoux, les œuvres d’art ou les espèces, sans se faire prendre ni laisser d’indice. Si un logiciel de surveillance d’accès aux fichiers avait été mis en place, cela aurait été très probablement le cas lors de cet incident particulier.

    À la fin du mois de janvier, la SecureWorks Counter Threat Unit de Dell a publié son propre rapport. Celui-ci est principalement issu de son expérience des codes malveillants de PDV similaires et du peu d’information publique disponible à propos de cet incident. Ceux qui sont plus orientés vers le code peuvent parcourir le rapport pour y trouver un descriptif du RAM scraper utilisé pour aspirer les numéros de carte de crédit. Les scrapers sont considérés comme le fond du panier des APT en raison de leur simplicité, mais les experts estiment que cette variante est plus avancée.

    Un article paru dans le New York Times explique comment les cybervoleurs ont commis l’effraction, au moyen d’un « accès distant accordé par le logiciel de climatisation du détaillant ». L’article du Times poursuit : « La cible n’a pas indiqué si ses fournisseurs sont tenus d’utiliser l’authentification à deux facteurs ». Les attaquants auraient certainement éprouvé beaucoup plus de difficultés à entrer si l’authentification à deux facteurs avait déjà été mise en place. Nous en entendrons peut-être plus à ce sujet au cours des prochains jours.

    Une fois à l’intérieur, les cambrioleurs ont soit intégré leur RAM scraper sur des terminaux PDV individuels, soit sur un serveur central vers lequel les transactions de carte de crédit de nombreux terminaux étaient acheminées.

    Le scraper a pu obtenir l’accès au moyen d’un nom d’utilisateur et d’un mot de passe par défaut de niveau administrateur appartenant à un autre logiciel que les pirates savaient installé dans l’environnement du détaillant.

    Voici venu le bon moment pour souligner que vous devez toujours modifier ces paramètres par défaut lors de l’installation d’un progiciel. Telle que nous comprenons la situation, cette attaque de PDV aurait été bloquée si cette étape essentielle avait été suivie (erreur n° 2).

    Un RAM scraper de ce type a probablement et tout simplement recueilli une liste de processus en cours d’exécution sur le terminal de PDV ou le serveur de PDV. Puis il a utilisé un appel système Windows (CreateToolhelp32Snapshot) pour regarder dans le segment de mémoire de chaque processus. Le scraper a alors effectué une recherche en mode texte d’informations de piste brutes. La bande de malfaiteurs disposait de détails techniques à ce sujet. Après avoir trouvé un modèle correspondant, le logiciel malveillant a chiffré les numéros et les a stockés pour transfert ultérieur. En fait, il ne s’agit encore que de piratage de base.

    Ainsi, les voleurs sont entrés dans la chambre forte. L’astuce est maintenant de sortir sans être détecté. En fin de compte, des millions de numéros de carte de crédit ont été exfiltrés. Il n’est pas surprenant qu’il y ait encore des incertitudes quant à la manière dont cela a été accompli, peut-être par POST HTTP ou, comme certains le suggèrent, par paquets DNS sortants. En d’autres termes, une application de surveillance de sécurité du réseau à la recherche des suspects habituels, à savoir FTP, aurait probablement manqué le coche.
    Cependant, pour déplacer latéralement les numéros de carte de crédit du scraper vers l’exfiltrateur, le groupe SecureWorks estime que le RAM scraper les a périodiquement vidés dans un fichier, puis a monté à distance le dossier du fichier vers un autre serveur que l’exfiltrateur avait compromis.

    Voici une troisième occasion manquée. Si le détaillant avait disposé d’un logiciel de supervision des fichiers afin de repérer les pics d’activité ou autres comportements atypiques (des millions de numéros de carte de crédit écrits dans des fichiers), les voleurs auraient pu être remarqués très rapidement.

    Nous constatons donc ici un modèle familier : une défaillance d’authentification (ou deux), une escalade de privilèges et des contrôles de détection inadéquats, à savoir l’absence d’audit et d’alerte relatifs au système de fichiers. De plus, nous devons nous demander si le système de CVC avait vraiment besoin de se trouver sur le même réseau logique que les systèmes de PDV.

    Cette violation (et d’autres qui lui sont similaires) aurait vraiment pu être arrêtée ou rendue beaucoup plus difficile si l’une au moins de ces questions avait été abordée. Mais n’accordez pas trop d’importance aux contrôles préventifs. Nous apprenons qu’il est préférable de présumer que les méchants entreront, ou même de se préparer comme s’ils se trouvaient déjà à l’intérieur.

    Un simple changement de perspective, de la surveillance des attaques au niveau du périmètre (aux points d’entrée et de sortie habituels) à l’observation de ce qui se passe à l’intérieur de la place (à savoir des métadonnées des fichiers) ferait toute la différence, en particulier dans le cas de portes dérobées dont vous ne connaissez pas l’existence.

    The post Les secrets de la prévention des attaques de points de vente appeared first on Varonis Français.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    David Gibson
    David Gibson

    David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).